使用 HTTP 動作收集稽核記錄
審核日誌同步流 連線 管理 Office 365 活動 API 參考 ,以收集遙測數據,例如應用程式的唯一使用者和啟動次數。 這些流程會使用 HTTP 動作來存取 API。 在本文中,您將為 HTTP 操作設置應用程式註冊,以及運行流所需的 環境 變數。
注意
卓越中心 (CoE) 初學者工具包在沒有這些流的情況下工作,但控制面板中的 Power BI 使用資訊(如應用程式啟動和唯一使用者)為空。
先決條件
- 完成設置 CoE 初學者工具包 之前和 設置庫存元件 文章。
- 設置您的 環境。
- 使用 正確的身份登錄。
提示
僅當您選擇 雲端流 作為清單和遙測機制時,才設置審核日誌流。
再設定稽核記錄流程之前
- Microsoft 365 稽核紀錄搜尋必須打開,稽核紀錄連接器才能運作。 有關更多資訊,請參閱 打開或關閉審核日誌搜索。
- 您的租用戶必須有支援整合稽核記錄的訂閱。 有關詳細資訊,請參閱 商業和企業計劃的安全與合規中心可用性。
- 需要全域管理員來設定 Microsoft Entra 應用程式註冊。
注意
Office 365 管理 API 用 Microsoft Entra ID 來提供驗證服務,您可以用來授予您的應用程式存取權。
建立 Office 365 管理 API 的 Microsoft Entra 應用程式註冊
使用這些步驟,您可以為 Power Automate 流程中的 HTTP 呼叫設定 Microsoft Entra 應用程式註冊,以連線至稽核記錄。 有關更多資訊,請參閱 開始使用 Office 365 管理 API。
登入 Azure 入口網站。
選取 + 新增註冊。
輸入名稱,例如 Microsoft 365 Management(管理),但不要更改任何其他設置,然後選擇 Register(註冊)。
選取 Office 365 管理 API,並設定權限,如下所示:
選取(為您的組織)授予管理者同意。 若要設置管理員內容,請參閱 向應用程式授予租戶範圍的管理員同意。
API 權限現在反映了委派的 ActivityFeed.Read,狀態為授與(您的組織)。
選取憑證和密碼。
選取 + 新增用戶端密碼。
根據您組織的原則新增描述和到期日,然後選取新增。
將應用程式(用戶端)ID 複製並粘貼到文本文檔(如記事本)中。
選取概觀,並將應用程式 (用戶端) 識別碼和目錄 (租用戶) 識別碼值複製與貼至相同的文字檔。 請務必記住每個 GUID 分別代表的值。 在設定自訂連接器時,您需要這些值。
更新環境變數
環境 變數用於儲存應用程式註冊的用戶端ID和金鑰。 變數還用於存儲 觀眾 和授權服務終端節點,具體取決於 HTTP 操作的雲(商業、GCC、 GCC HighDoD)。 在打開流程之前,請先更新環境變數。
您可以將用戶端密鑰以純文字形式存儲在 Audit Logs - Client Secret 環境 變數中 ,不建議這樣做。 相反,我們建議您在 Azure Key Vault 中創建和儲存用戶端密鑰,並在審核日誌 - 用戶端 Azure 金鑰 環境 變數中 引用它。
注意
使用此環境變數的流程設定了一個條件,即要求稽核記錄 - 用戶端密碼或稽核記錄 - 用戶端 Azure 密碼環境變數。 但是,您無需編輯流即可使用 Azure Key Vault。
姓名 | Description | 數值 |
---|---|---|
稽核記錄 - 對象 | HTTP 呼叫的 觀眾 參數 | 商業 (預設): https://manage.office.com 海灣合作委員會: https://manage-gcc.office.com GCC High: https://manage.office365.us 國防部: https://manage.protection.apps.mil |
稽核記錄 - 授權 | HTTP 調用中的 authority 字段 | 商業 (預設): https://login.windows.net 海灣合作委員會: https://login.windows.net GCC High: https://login.microsoftonline.us 國防部: https://login.microsoftonline.us |
稽核記錄 - ClientID | 應用註冊 Client ID | 應用程式用戶端 ID 來自 為管理 API Microsoft Entra 創建 Office 365 應用程式註冊 步驟。 |
稽核記錄 - 用戶端密碼 | 純文字形式的應用程式註冊用戶端金鑰(不是金鑰 ID,而是實際值) | 應用程式用戶端金鑰來自 為管理 API Microsoft Entra 創建 Office 365 應用程式註冊 步驟。 如果您使用 Azure Key Vault 儲存您的用戶端識別碼和密碼,則保留空白。 |
稽核記錄 - 用戶端 Azure 密碼 | 應用註冊客戶端密碼的 Azure Key Vault 參考 | 應用程式客戶端密碼的 Azure Key Vault 參考來自 為管理 API Microsoft Entra 創建 Office 365 應用程式註冊 步驟。 如果要將用戶端識別碼以純文字形式儲存在稽核記錄 - 用戶端密碼環境變數中,請保留空白。 此變數需要 Azure Key Vault 參考,而不是密碼。 有關詳細資訊,請參閱 在 環境 變數中使用 Azure Key Vault 機密。 |
開始訂閱以稽核記錄內容
- 前往 make.powerapps.com。
- 選取解決方案。
- 開啟卓越中心 - 核心元件解決方案。
- 打開 Admin |審計日誌 | Office 365 管理 API 訂閱 流程並運行它,輸入 start 作為要運行的操作。
- 打開流並驗證啟動訂閱的操作是否已傳遞。
重要
如果您之前啟用了訂閱,則會看到 a(400) The subscription is already enabled 消息。 這意味著訂閱過去已成功啟用。 您可以忽略此消息並繼續設置。 如果您沒有看到上述消息或 (200) 回覆,則請求可能失敗。 您的設置可能存在錯誤,導致 Flow 無法正常工作。 要檢查的一般問題包括:
- 是否已啟用稽核紀錄,且您是否有查看稽核紀錄的權限? 通過在 Microsoft 合規性管理器 中搜索來測試是否啟用了日誌。
- 您最近是否啟用了審核日誌? 如果是,請在幾分鐘後再試一次,讓稽核記錄有時間啟動。
- 確認您是否已正確按照 Microsoft Entra 應用程式註冊中的步驟進行。
- 確認您是否已正確更新這些流程的環境變數。
打開流程
- 前往 make.powerapps.com。
- 選取解決方案。
- 開啟卓越中心 - 核心元件解決方案。
- 打開 Admin |審計日誌 |更新數據 (V2) 流程。 此流程使用上次啟動資訊更新 PowerApps 表,並將元數據添加到審核日誌記錄中。
- 打開 Admin |審計日誌 |同步審核日誌 (V2) 流。 此流按小時計劃運行,並將審核日誌事件收集到審核日誌表中。
如何取得更舊的資料
此解決方案在配置後收集應用程式啟動,但未設置為收集歷史應用程式啟動。 Microsoft 365 根據您的許可證,使用 Microsoft Purview 中的審核日誌,歷史數據最多可使用一年。
您可以使用解決方案中的一個流手動將歷史數據載入到 CoE 初學者工具包表中。
注意
檢索審核日誌的使用者需要訪問它們的許可權。 有關更多資訊,請參閱 搜索審核日誌之前。
瀏覽至稽核記錄搜尋。
搜索運行后,選擇 Export (導出 ) 以下載結果。
在核心解決方案中流覽到此流程: Admin |審計日誌 |從導出的審核日誌 CSV 檔載入事件。
打開流程並運行它,為 Audit Log CSV (審核日誌 CSV ) 參數選擇下載的檔。
注意
如果您在選擇 Import (導入) 后沒有看到檔載入,則它可能超過了此 發射鍵 允許的內容大小。 試著將檔案分割成較小的檔案 (每個檔案 50,000 列),並執行每個檔案一次的流程。 流程可以同時執行多個檔案。
完成後,這些日誌將包含在遙測中。 如果找到最近的啟動項,則會更新應用程式的上次啟動 清單。
疑難排解
API 權限
轉到您的應用程式註冊並驗證您是否具有正確的 API 許可權。 您的應用程式註冊需要應用程式許可權,而不是委派。 驗證狀態是否為 Granted (已授予)。
機密 環境 變數 - Azure 機密
如果使用 Azure Key 值來儲存應用程式註冊機密,請驗證 Azure Key Vault 許可權是否正確。 使用者需要具有 Key Vault 機密使用者 角色才能讀取,需要具有 Key Vault 投稿人 角色才能更新。
如果您在 Azure Key Vault 中遇到有關防火牆、環境 的 Dataverse 靜態 IP 或其他此類功能問題的其他問題,請聯繫產品支援部門來解決。
Secret 環境 Variable - 純文本
如果您使用純文本來儲存應用程式註冊金鑰,請驗證您輸入的是金鑰值本身,而不是金鑰 ID。 Secret 值是一個較長的字串,其字元集比 GUID 大,例如,字串可能包含波形符。
我發現 CoE Starter Kit 存在一個錯誤。 我應該前往何處?
要針對解決方案提交錯誤,請移至 aka.ms/coe-starter-kit-issues。